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La presente invention concerne !e domaine de la protection contre la 
copie de donnees numeriques et contre Tacces illegal a de telles donnees, en 
particulier dans le cas de donnees circulant dans des reseaux numeriques 
locaux tels des reseaux domestiques numeriques. 

5 

II est connu dans !e contexte de la protection contre la copie illicite de 
donnees numeriques des systemes dans lesquels un contenu numerique peut 
etre copte pour etre utilise dans un domaine determine. On entend par domaine 
un ensemble d'appareils appartenant par exemple a un meme reseau 
10 domestique, ces appareils partageant un secret propre au domaine, par 
exemple une cle de chiffrement cryptographique. Un appareil appartenant & un 
domaine peut etre un appareil portable. Son appartenance a un domaine 
particulier sera determinee par sa connaissance du secret propre a ce domaine 
particulier. 

15 Les contenus numeriques dans un tel domaine peuvent etre de trois 

sortes : 

- « copie libre » : ce type de contenu peut §tre enregistre et relu dans, 
n'importe quel domaine, il n'est done pas necessaire de connaitre un secret 
propre a un domaine pour lire ce type de contenu ; 

20 - « copie privee » : ce type de contenu ne peut etre copie que pour 

un domaine particulier dans lequel il pourra etre relu ; le contenu est enregistre 
sous une forme qui necessite la connaissance du secret du domaine particulier 
pour pouvoir etre relu. Ce type de contenu ne peut pas etre lu sur un appareil 
qui n'appartient pas au domaine particulier. 

25 - « lecture seule » : ce type de contenu peut seulement etre lu dans 

un domaine particulier mais il ne peut pas etre copie ; ou si des copies du 
contenu sont effectuees, celles-ci ne pourront pas etre relues ensuite. 

Un contenu numerique entre generalement dans un domaine a 
travers un dispositif d'acces ou dispositif source. Ce type de dispositif recupere 

30 des donnees numeriques a travers un canal externe au domaine et les diffuse 
aux autres dispositifs du domaine, par exemple grace a un bus numerique 
reliant les differents appareils du domaine, Un dispositif source peut notamment 
etre un decodeur numerique destine a recevoir des programmes video de 
I'exterieur d'un reseau domestique numerique, via une antenne satellite ou une 

35 connexion au cable, pour les diffuser dans le reseau. II peut egalement s'agir 
d'un lecteur de disque optique diffusant dans un reseau domestique des 
donnees (audio et/ou video) lues sur un disque optique (le disque contient dans 
ce cas des donnees provenant de Texterieur du r6seau). 
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A I'interieur du domaine, les contenus numSriques peuvent etre 
enregistres par des dispositifs d'enregistrement n«n**u* t*un 
enregistreur DVD (de I'anglais « Digital Versatile Disc » signifiant Irtteralement 
« Disque Polyvalent Numerique ») ou un disque dur. 
5 Finalement, le contenu est presente aux utilisateurs du domame par 

des dispositifs de presentation. Ces dispositifs sent adaptes a recevo,r les 
contenus du domaine (notamment les donnees numiriques circular* dans un 
niseau domestique numerique) pour les trailer (notamment pour les decrypter s, 
necessaire) et les printer a Mllsateur final. II s'agit notamment de 
10 reoepteurs de television permettant de visualiser des donneea v,deo ou 
d'appareils Hi-Fi pour ecouter des donnees audio. 

Un dispositif source contient generalement un module drt « d acces 
conditlonnel , ou un module de gestion des droits numeriques (dit « modute 
DRM» pour « Digital Rights Managements selon que le contenu est 
15 respecttvemen. un contenu « diffuse » (« broadcast content » en angtos) or . un 
contenu , large bande » (-broadband content » en angla,s). Ces modules 
gerent la protection du contenu mise en place par le fournisseur de contenu 

Par exemple, si I'on conaidere dea programmes televises payants. le 
fournisseur de contenu, c'est a dire le diffuseur de programmes, fourn, 
habituellement les programmes numeriques sous une forme embrou.llee , (cest 
a dire cryptee) a .'aide de des appetees mote de controle, les mots de controle 
«ant euLemes transmis avec tea donnees sous forme chiff^e dans des 
messages appeles « ECM » (de I'anglais « Entitlement Control Message >> 
signifiant litteralement . Message de Contr6le des Droits »). Le fourmsseur de 
25 contenu fourn* Sgalemen. aux abonnes ayan, paye pour reoevo,, _les 
programmes ,a cle permettant de d^chiffrer tea mots de c°ntto,e un "«*-. 
d'acces conditionne. oontenant entre autre, , algorithms de dechrffrement des 
m ots de contrtle (la cle et le module d'acces condmonne. aont 
prSferentiellement inclus dans une carte a puce). C'est aussi le ourmsseur de 
30 contenu qui definit les regies d'utilisation du contenu fourn,, cest a dire qu, 
si le contenu est du type « copie libre », « copie prtrt. , ou « lecture 

SeU ' e *' Dans le systems de protection contre la copie connu sous le nom de 
SmartRight™ (SmartR/gM est une marque deposee de la societe THOMSON 
35 multimedia), tes dispositifs sources transformed les contenus re S us en fonobon 
des reqles d'utilisation de ces contenus. 

Lorsqu'un contenu recu par un dispositif source d'un doma.ne donne 
est de type « copie privee ». le contenu est transform* de maniere a ce qu'.l ne 
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puisse etre decrypte que par des dispositifs de presentation appartenant a ce 
domaine particulier (et done partageant tous un meme secret). La demande de 
brevet francais No. 01 05568, deposee le 25 avril 2001 au nom du demandeur 
THOMSON Licensing S.A., concernant un procede de gestion de cle 
5 symetrique dans un reseau de communication, decrit notamment comment 
cette transformation est effectuee de sorte que seuls les dispositifs de 
presentation connaissant une cle secrete du reseau de communication sont 
capables de decrypter le contenu pour le lire. 

On notera que, dans la suite de la description, les termes « cle 
10 secrete » ou « cle symetrique » seront utilises pour designer une cle 
cryptographique utilisee dans un algorithme de chiffrement ou de dechiffrement 
symetrique, tel que I'algorithme connu sous le nom de AES (acronyme de 
« Advanced Encryption Standard ») ou encore sous le nom de « Rijndael » et 
decrit notamment dans le document « Proceedings from the first Advanced 
1 5 Encryption Standard Candidate Conference, National institute of Standards and 
Technology (NIST), aoQt 1998, J. Daemen et V. Rijmen ». 

Lorsqu'un contenu recu par un dispositif source est de type « lecture* 
seule », le contenu est egalement transforme par ce dispositif source em 
utilisant le procede decrit dans la demande de brevet precitee de sorte qu'il.ne; 
20 puisse etre lu que par les dispositifs de presentation du reseau qui connaissent 
la cle secrete du reseau. De plus, un procede decrit dans la demande de brevet 
francais No. 00 15894, deposee le 7 decembre 2000 au nom de THOMSON,, 
multimedia, est mis en ceuvre pour que le contenu ne puisse pas etre copie; 
dans le domaine ou qu'en cas de copie, celle-ci ne puisse pas etre relue par les 
25 dispositifs de presentation du domaine. 

Lorsqu'un contenu recu dans un domaine est de type « copie libre », 
il est generalement en clair et est laisse sous cette forme par le dispositif source 
qui a recu le contenu pour le diffuser dans le domaine. 

Grace a ce systeme, il est possible a un utilisateur qui recoit un 
30 contenu apres avoir paye au fournisseur de ce contenu les droits associes, de 
garder une copie privee de ce contenu pour son usage personnel ulterieur. 
Cette copie ne pourra etre lue que par des dispositifs de presentation de son 
domaine, e'est a dire du domaine dans lequel le contenu a ete recu initialement. 

Neanmoins, il existe des cas dans lesquels il est souhaitable de 
35 pouvoir relire une copie privee effectuee dans un premier domaine sur un 
dispositif de presentation d'un second domaine. Notamment, si un utilisateur 
souhaite visualiser sur le domaine d'un ami la copie d'un film effectuee sur son 



propre domaine, naturellement sans qu'une copie puisse etre realisee pour le 
domaine de I'ami. 

Ceci peut egalement etre necessaire en cas d'union ou de 
separation d'utilisateurs. En cas d'union, si chaque utilisateur avait auparavant 

5 son propre domaine, les deux domaines ne pourront etre relies ensemble car 
les appareiis des deux domaines ne partagent pas le meme secret. Dans ce 
cas, si les deux utilisateurs ne veulent pas gerer deux domaines differents, il 
faudra que les contenus enregistres au prealable sur un premier domaine 
puissent etre relus sur le deuxieme domaine. De meme, lorsque i'on souhaite 

10 separer un domaine en deux domaines differents (parce que des epoux se 
separent ou qu'un enfant quitte le domicile de ses parents), il est necessaire de 
pouvoir relire les contenus enregistres au prealable sur le domaine commun sur 
les deux nouveaux domaines. 

La presente invention vise a resoudre les problemes precites. 

15 

L'invention conceme a cet effet, un procede de traitement de 
donnees, chiffrees selon un procede de chiffrement propre a un premier 
domaine de sorte qu'elles ne puissent etre dechiffrees qu'a I'aide d'un premier 
secret propre audit premier domaine, lesdites donnees etant recues dans un 
20 dispositif de presentation raccorde a un reseau appartenant a un second 
domaine. Selon l'invention, le procede comporte les etapes consistant pour le 
dispositif de presentation a : 

(a) transmettre a un dispositif de traitement raccorde au reseau une 
partie au moins desdites donnees chiffrees ; 
25 (b) recevoir dudit dispositif de traitement au moins un element 

permettant de dechiffrer lesdites donnees recues a I'aide d'un second secret 
propre audit second domaine, ledit second secret etant contenu dans le 
dispositif de presentation. 

Ainsi le dechiffrement des donnees est delegue a un dispositif de 
30 traitement qui connalt le premier secret propre au premier domaine et qui 
effectue un traitement sur la partie des donnees qu'il recoit de sorte que le 
dispositif de presentation du second domaine puisse dechiffrer les donnees 
recues simplement en connaissant le second secret propre au second domaine. 

De plus, comme le secret du premier domaine n'est pas transmis au 
35 dispositif de presentation du second domaine, il ne peut dechiffrer les donnees 
recues que lorsque le dispositif de traitement est raccorde au reseau du second 
domaine. 
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Selon un mode de realisation particulier de I'invention. les donnees 
recues dans le dispositif de presentation sont chiffrees a I'aide d'une premiere 
cle symetrique, ladite premiere cle symetrique etant recue avec les donnees 
sous forme chiffree a I'aide du premier secret. Dans ce mode de reai.sat.on, 
I'etape (a) consiste a transmettre au dispositif de traitement la prem.ere cle 
symetrique chiffree a I'aide du premier secret ; et I'etape (b) consiste a recevo.r 
du dispositif de traitement : la premiere cle symetrique chiffree a Me d une 
seconde cle symetrique ; et la seconde cle symetrique chiffree a la.de du 
second secret propre au second domaine. 

Selon une caracteristique particuliere de I'invention, le procede 
comporte en outre les etapes consistant pour le dispositif de presentafon a : 

(c) dechiffrer, a I'aide du second secret, la seconde cle symetnque 

chiffree , ^ , raWe de |a seconde c le symetrique, la premiere cle 

15 svmetrique chiffree ; et , ■ x 

(e)dechfflrer les donnas recues par ledtt dispositif de presentat,pn a 

I'aide de la premiere cle symetrique. ' 

Selon un mode de realisation particulier de I'invention, le procede, 
comporte en outre, avant I'etape (a), une etape consistant pour le disposiW de, 
20 presentation a generer un nombre aleatoire, le nombre aleatoire etant transmis 
au dispositif de traitement, a I'etape (a), avec le chiffrement de la premiere cle„ 
symetrique. Dans ce mode de realisation les donnees recues m\ letape J£ 
contiennent un nombre aleatoire et la premise cle symetrique chflres a I aide 
de la seconde cle symetrique; I'etape (d) comprend egalement le 
25 dechiffrement. a I'aide de la seconde symetrique, du nombre aleatoire ^chrff* 
recus a I'etape (b) ; et le procede comporte en outre, avant letape (e), une 
etape de verification que le nombre aleatoire dechiffre a I'etape (d , es idenfique 
au nombre aleatoire genere avant I'etape (a) ; I'etape (e) n'etant effectuee qu en 
cas de verification positive. 
30 Selon une autre caracteristique de I'invention, un .dent.fiant de 

domaine est contenu dans les donnees recues par le dispositif de pMAon ; 
ndentifiant de domaine est transmis au dispositif de traitement lors de I etape 
(a) ; et I'etape (b) n'est effectuee que si le dispositif de traitement content le 
meme identifiant de domaine. 

35 D'autres caracteristiques et avantages de I'invention apparattront a 

travers la description de modes de realisation particuliers non hm.tat.fs, 
explicites a I'aide des figures jointes, parmi lesquelles : 



- la figure 1 est un schema bloc cTun reseau domestique numerique 
raccordant entre eux des dispositifs appartenant a un premier domaine ; 

- la figure 2 est un schema bloc d'un reseau domestique comportant 
des dispositifs appartenant a un second domaine illustrant un mode de 
realisation de invention ; 

- la figure 3 est un diagramme tempore! illustrant des echanges de 
cles entre deux dispositifs du reseau domestique de la figure 2 ; 

- la figure 4 est un diagramme tempore! illustrant les echanges de 
donnees entre des dispositifs du reseau domestique de la figure 2 permettant 
de lire (sans le copier) dans le second domaine, un contenu enregistre dans le 
premier domaine. 

Nous decrirons dans un premier temps, en liaison avec la figure 1 , 
un exemple de reseau domestique dans lequel est mis en ceuvre un systeme 
de protection contre la copie permettant d'effectuer des copies privees des 
contenus numeriques, pour un usage futur uniquement dans le reseau 
domestique dans lequel ils ont ete copies. 

Le reseau comprend un dispositif source 1, un dispositif de 
presentation 2 et un dispositif d'enregistrement 3 relies ensembles par un bus 
numerique 4, qui est par exemple un bus selon la norme IEEE 1394. 

Le dispositif source 1 comprend un decodeur numerique 10 dote 
d'un lecteur de carte a puce muni d'une carte a puce 11. Ce decodeur re?oit 
des donnees numeriques, notamment des programmes audio/video distribues 
par un prestataire de service. 

Le dispositif de presentation 2 comprend un recepteur de television 
numerique (DTV) 20 dote d'un lecteur de carte a puce muni d'une carte a puce 
21 et le dispositif d'enregistrement 3 est notamment un magnetoscope 
numerique (DVCR). 

Les donnees numeriques qui entrent sur le reseau via le dispositif 
source 1 sont en general des donnees embrouillees par un fournisseur de 
contenu, par exemple selon le principe de la television payante. Dans ce cas, 
les donnees sont embrouillees a I'aide de mots de controle CW (de Tanglais 
« Control Word ») qui sont eux-meme transmis dans le flux de donnees sous 
forme chiffree a I'aide d'une cle de chiffrement K F en etant contenus dans des 
messages de controle ECM (de I'anglais « Entitlement Control Message »). La 
cle de chiffrement K F est mise a la disposition des utilisateurs qui ont paye pour 
recevoir les donnees, notamment en etant stockee dans une carte a puce. 
Dans I'exemple de la figure 1 , la carte a puce 1 1 contient une telle cle K F ainsi 
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qu'un module d'acces conditionnel CA 14 capable de dechiffrer les mots de 
controle CW. 

Le dispositif source 1 qui recoit ces donnees numeriques 
embrouillees les met ensuite en forme pour qu'elles soient diffusees sur le 
reseau numerique selon un format de protection specifique au reseau 
domestique. Le decodeur 10 comporte un module « unite ECM » 13 qui extrait 
du flux de donnees recu les messages ECM contenant les mots de controle 
chiffres a I'aide de la cle K F pour les transmettre au module CA 14. Celu.-c. 
dechiffre les mots de controle CW et les transmet a un module convertisseur 12 
egalement contenu dans la carte a puce 11. 

Le r6le du module convertisseur 12 est de transformer les 
informations contenues dans les messages ECM en messages LECM (de 
[■anglais « Local Entitlement Control Message ») proteges a I'aide d'une cle 
secrete specifique au reseau domestique local, que Ton appellera la cle Knl 

On suppose qu'auparavant le module convertisseur a genere 
aleatoirement une cle symetrique K c et a requis le chiffrement de cette c\f K c * 
I'aide de la cle secrete du reseau Knl Le module convertisseur possede done 
en memoire la cle K c et la cle K c chiffree par la cle secrete du reseau K N iv 

E{K N i}(Kc)- , 

Dans le reste de la description, on utilisera toujours la notation 

E{K}(M) pour signifier chiffrement avec une cle K des donnees M. 

La demande de brevet francais No. 01 05568 precitee decrit en detail 
le precede qui permet au module convertisseur d'obtenir le chiffrement de la cle 
K c a I'aide de la cle secrete du reseau Km. ce chiffrement etant effectue dans 
un dispositif de presentation. En effet, les dispositifs de presentation du reseau, 
tels que le dispositif 2 de la figure 1, sont les seuls a posseder la cle secrete du 
reseau Knl Celle-ci est contenue dans la carte a puce 21 avec un module 
terminal 22 charge, entre autre, des operations de chiffrement et dechiffrement 

avec la cle du reseau Kni . 

Le fonctionnement du systeme est le suivant. Lorsque des donnees 
numeriques sont recues dans le decodeur 10, le module « unite ECM » 13 
extrait les messages ECM contenant les mots de contr6le CW chiffres a I'aide 
de la cle K F specifique au fournisseur de contenu et les fournit au module CA 
14 Ce dernier dechiffre les mots de controle CW et les transmet au module 
> convertisseur 12. De plus, le message ECM peut egalement contenir des 
informations de contrdie de la copie du contenu transmis indiquant si le contenu 
peut etre copie librement ou non dans le reseau ou bien si le contenu peut 



seulement etre visualise (ou ecoute...) dans le reseau. Ces informations sont 
egalement transmises au module convertisseur. 

Le module convertisseur construit ensuite un message LECM a partir 
de ces donnees. Ce message comprend preferentiellement : 
5 - une partie A en clair contenant notamment les informations de 

controle de la copie du contenu, c'est a dire indiquant si le contenu est de type 
« copie libre », « copie privee » ou bien « lecture seule » ; ces informations sont 
souvent notees VCI (acronyme de Panglais « Viewing Control Information »). La 
partie en clair contient egalement la cle K c chiffree avec la cle du reseau : 
10 E{K N1 }(K C ). 

- une partie B, chiffree avec la cle Kc, et contenant essentiellement le 
mot de controle dechiffre CW ; on peut resumer cette partie a : E{K C }(CW). 

- un champ d'integrite forme par le resultat d'une fonction de 
hachage appliquee a I'ensemble des parties A et B avant chiffrement de la 

15 partie B. Ce champ d'integrite permet avantageusement de verifier la validite 
des messages LECM et permet de s'assurer qu'ils ne sont pas modifies 
illicitement 

Le message LECM est ensuite transmis a I'unite ECM qui I'insere 
dans le flux de donnees a la place des messages ECM. II est a noter que 
20 lorsque le contenu regu n'est pas deja sous forme embrouillee comme decrit ci- 
dessus et ne contient pas de message ECM, le module convertisseur 12 est 
charge dans ce cas de mettre les donnees sous cette forme pour que le flux de 
donnees diffuse sur le reseau 4 soit toujours sous la forme de paquets de 
donnees tels le paquet 40 represente a la figure 1 contenant un message 
25 LECM et des donnees embrouillees. 

On peut r6sumer le contenu de ce paquet comme suit : 

LECM | E{CW}(<donnees>) ; soit : 

E{KNi}(K c )|VCl|E{Kc}(CW)|Champ d'integrite | E{CW}(<donnees>) ; 

ou « | » represente Top£rateur de concatenation. 
30 Lorsque ces paquets de donnees sont repus par le recepteur de 

television numerique 20, ils sont transmis au module « Unite LECM » 23 qui en 
extrait les messages LECM pour les transmettre au module terminal 22. Ce 
dernier dechiffre tout d f abord E{K N i}(K c ) a I'aide de la cle K N1 pour obtenir la cle 
Kc. Ensuite, a Taide de la cle K c , il dechiffre E{K C }(CW) pour obtenir le mot de 
35 controle CW qu'il transmet au module « Unite LECM » 23. Celui-ci est alors en 
mesure de desembrouiller les donnees E{CW}(<donnees>) a Taide du mot de 
controle. Les donnees d^sembrouillees sont ensuite presentees a Tutilisateur. 




Dans ie cas de donnees video, celles-ci peuvent etre visualisees sur le 
recepteur de television 20. 

Si le flux de donnees contenant les paquets 40 est enregistre par le 
magnetoscope numerique 3 pour etre relu plus tard, nous constatons que ceci 

5 n'est possible que si le dispositif de presentation sur lequel les donnees doivent 
etre presentees contient la cle secrete K N i du domaine dans lequel les donnees 
on t ete enregistrees. Nous appellerons dans la suite ce domaine N1. 

Rappelons que nous entendons par domaine, dans l'exemple de la 
figure 1, le reseau domestique numerique ainsi que I'ensemble des appareils 

10 qui y sont connectes ainsi egalement que des appareils de presentation 
portables (non representes) qui sont susceptibles d'etre raccordes au reseau 
domestique et qui appartiennent aux membres de la famille possedant le 
reseau domestique. Les appareils de presentation portables (par exemple des 
lecteurs de fichiers musicaux compresses) sont consideres comme faisant 

15 partie du domaine N1 lorsqu'ils contiennent la cle secrete Km. On pourra se 
reporter a la demande de brevet francais No. 01 05568 precitee pour y trouver 
une description de la maniere dont la cle secrete du domaine N1 est transmise 
aux nouveaux dispositifs de presentation qui « entrent » dans le domaine (par 
exemple lorsqu'un membre de la famille achete un nouvel appareil). 

20 Supposons maintenant qu'un utilisateur ayant enregistre un contenu 

(par exemple un film) de type « copie privee » sur son domaine N1 souhaite 
pouvoir le visualiser sur un recepteur de television appartenant a un autre 
domaine que nous noterons N2. 

Dans ce cas, I'utilisateur inserera par exemple une cassette 

25 contenant le film dans un magnetoscope numerique du domaine N2. Ce 
magnetoscope diffusera le film sur le reseau domestique du domaine N2 pour 
qu'il soit visualise sur un recepteur de television du domaine N2. Mais comme 
ce dernier ne connaTt pas la cle secrete du domaine N1, K N i, il ne pourra 
dechiffrer le contenu des messages LECM et done ne pourra pas 

30 desembrouiller les donnees pour presenter le film a I'utilisateur. 

Nous altons maintenant decrire comment, grace a I'invention, il sera 
possible de visualiser dans le domaine N2 le contenu enregistre comme « copie 
privee » dans le domaine N1 sans pour autant qu'il soit possible de realiser une 
35 copie de ce contenu pour le domaine N2, ou du moins de maniere a ce qu'en 
cas de copie dans le domaine N2, cette copie ne puisse pas etre relue dans le 
domaine N2. 



+ • 

Pour cela, il est prevu un module special reunissant les 
fonctionnalites d'un module convertisseur et d'un module terminal et inclus 
preferentiellement dans une carte a puce. Nous parlerons dans la suite soit du 
module terminal/convertisseur, soit de la carte terminal/convertisseur. 
5 Ce module devra d'abord etre initialise dans le domaine N1 pour 

recevoir le secret du domaine N1, a savoir la cle K N i, puis il sera raccorde au 
domaine N2 pour realiser le dechiffrement des parties chiffrees avec la cle K N i 
des paquets de donnees formant le contenu. 

Nous decrirons ci-dessous plus en details comment ces etapes sont 

1 0 realisees. 

Sur la figure 2, nous avons represents schematiquement le reseau 
domestique numerique d'un domaine N2 dans lequel est mis en ceuvre le mode 
de realisation prefere de I'invention. Nous n'avons represents que les elements 
necessaires a la comprehension de I'invention. 

15 Dans ce reseau, un bus numerique 204 relie entre eux un 

magnetoscope numerique 203, un dispositif de presentation 202 et un dispositif 
source 201. Le bus numerique 204 est preferentiellement un bus selon la 
norme IEEE 1394. Le dispositif de presentation 202 comprend un recepteur de 
television numerique DTV 220 qui comporte un module « Unite LECM » 223 et 

20 une carte a puce 221 comprenant un module terminal 222. Dans la carte a puce 
221 est memorisee la cle secrete du domaine N2 : K N 2- 

Le dispositif source 201 comprend un decodeur numerique 210 qui 
comporte un module « Unite ECM » 213. Dans le decodeur 210 se trouve 
inseree une carte terminal/convertisseur 211 qui comprend un module terminal 

25 214 et un module convertisseur 212. Cette carte 211 est inseree a la place 
d'une carte « convertisseur », c'est a dire d'une carte a puce contenant un 
module convertisseur telle la carte 11 de la figure 1, dans le dispositif source 
201. 

En pratique, la carte terminal/convertisseur 211 appartient a 
30 I'utilisateur du domaine N1 et celui-ci I'insere dans un dispositif source (ou bien 
dans un dispositif de presentation comme on le verra dans un second mode de 
realisation) du domaine N2 lorsqu'il souhaite visualiser dans le domaine N2 un 
contenu enregistre comme « copie privee » dans le domaine N1. 

Le module terminal 214 contient la cle secrete du domaine N1 qu'il a 
35 recu lors d'une phase d'initialisation de la carte terminal/convertisseur 21 1 dans 
le domaine N1. 

En effet, avant d'etre raccordee au reseau du domaine N2, la carte 
terminal/convertisseur 211 a ete au prealable raccordee au reseau du domaine 
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N1 en etant inseree dans un dispositif de presentation de N1 a la place de la 
carte « terminal » (une carte a puce contenant un module terminal telle la carte 
21 de la figure 1) qui s'y trouve habitueliement. Le module terminal 214 etait 
alors considere comme « vierge », c'est a dire n'appartenant a aucun domaine. 

Le module terminal 214 a ensuite recu du dispositif « geniteur » du 
domaine N1 la cle secrete Kni avant de devenir « sterile ». 

Les termes « vierge », « geniteur » et « sterile » sont defmis dans la 
demande de brevet francais No. 01 05568 precitee et designent respectivement 
un dispositif de presentation (ou plus precisement son module terminal) : 

- qui n'est raccorde a aucun domaine et ne contient aucune cle 
secrete de domaine (dispositif ou module terminal « vierge ») ; 

- qui possede la cle secrete d'un domaine et peut la transmettre a un 
nouveau dispositif de presentation vierge susceptible d'etre raccorde au 
domaine (dispositif ou module terminal « geniteur ») ; et 

- qui possede la cle secrete d'un domaine mais ne peut pas la 
transmettre a un autre dispositif (dispositif ou module terminal « sterile »). , 

La demande de brevet precitee decrit egalement les mecanismes de 
transmission securisee de la cle secrete entre les differents dispositifs. < 

Apres cette phase d'initialisation dans le domaine N1, la:. carte 
terminal/convertisseur 21 1 est done raccordee a un domaine N2 dans lequel on 
souhaite visualiser un contenu enregistre comme « copie privee » dans le 
domaine N1. Sur la figure 2, elle est inseree dans le decodeur numenque 21,0 

du dispositif source 201 . - 

La figure 3 illustre les etapes qui sont mises en ceuvre apres que la 
carte terminal/convertisseur 211 a ete raccordee au reseau du domaine N2. 

Lors d'une premiere etape 100, une cle symetrique K' c est generee 
aleatoirement par le module convertisseur 212 de la carte terminal/ 
convertisseur 21 1 et est memorisee dans la carte 21 1 . 

Lors de I'etape suivante 101, le dispositif source 201 diffuse sur le 
) reseau du domaine N2 un message de requete pour recevoir une cle publique 
d'un dispositif de presentation du reseau. Chaque dispositif de presentation 
possede en effet une paire de cles asymetriques memorisee dans la carte a 
puce qui contient le module terminal. Par exemple, le dispositif de presentation 
202 de la figure 2 possede une cle publique K P ub_t 2 et une cle privee Kpr L t 2 . 
5 Ces cles sont utilisees de maniere connue en soi pour realiser des operations 
de chiffrement ou de dechiffrement a I'aide d'algorithmes cryptograph.ques 
asymetriques (par exemple I'algorithme RSA, du nom de ses createurs Rivest, 
Shamir et Adleman). 
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N'importe quel dispositif de presentation du domaine N2 peut 
repondre a cette requeue 101. On suppose dans la suite que le dispositif de 
presentation 202 repond a la requete en envoyant sa cle publique Kpub_t2 au 
dispositif source 201 lors de I'etape 102. 

5 Le module convertisseur 212 realise alors le chiffrement de la cle 

symetrique K' c a I'aide de la cle publique K PU b_t2 recue (etape 103) puis il 
envoie le resultat de ce chiffrement E{K PU b_t2}(K'c) au dispositif de presentation 
202 (etape 104). Ce dernier dechiffre le resultat recu a I'aide de sa cle privee 
Kpri_t2 pour obtenir K* c (etape 105). II procede ensuite (etape 106) au 

10 chiffrement de K' c avec la cle secrete du domaine N2, K N 2. pour obtenir 
E{Kn2}(K'c), resultat qu il envoie au dispositif source 201 a I'etape 107. Ce 
resultat E{K N 2}(K'c) est memorise dans la carte terminal/convertisseur 211 a 
I'etape suivante 108. 

La carte terminal/convertisseur est maintenant prete a effectuer le 

15 dechiffrement du contenu de type « copie privee » du domaine N1 pour le 
domaine N2. 

Nous allons maintenant decrire, en liaison avec la figure 4, le 
procede mis en oeuvre pour cela. 

20 Sur la figure. 4, on a represents par trois axes verticaux descendants 

t I'axe du temps pour illustrer les traitements effectues par le magnetoscope 
numerique DVCR 203, le dispositif de presentation 202 et la carte 
terminal/convertisseur 21 1 ainsi que les echanges entre ces elements lorsqu'un 
nouveau contenu provenant du domaine N1 est diffuse sur le reseau 

25 domestique numerique du domaine N2. 

Dans un premier temps, I'utilisateur insere par exemple la cassette 
video contenant le programme video enregistre dans le domaine N1, dans le 
magnetoscope numerique 203 du domaine N2. Le magnetoscope diffuse alors 
classiquement sur le reseau du domaine N2 les donnees enregistr§es sur la 

30 cassette. 

Nous supposons que I'utilisateur souhaite visualiser le contenu sur le 
dispositif de presentation 202. II reglera done ce dispositif sur le canal de 
diffusion du magnetoscope numerique 203 pour recevoir les donnees. 

Ces donnees diffusees a I'etape 401 de la figure 4 contiennent des 
35 paquets de donnees tels que le paquet suivant : 

LECM1 | E{CW}(<donnees>), soit 

E{K m }(K c ) I E{K C }(CW) | Champ d'integrite | E{CW}(<donnees>), ou 
le Champ d'integrite est calcule comme suit : 
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Hash (E{Kni}(K c ) I CW). 

avec « Hash (x) » qui represente une fonction de hachage, c'est a 
dire une fonction mathematique qui transforme un ensemble de donnees 
d'entree « x » en un ensemble de donnees « y » de taille fixe, souvent 
inferieure a la taille des donnees d'entree, et representatives des donnees 
d'entrees ; cette fonction est de plus une fonction a sens unique (« one way 
function » en anglais) c'est a dire que, connaissant « y », il est impossible de 
retrouver « x » tel que y= Hash(x). Preferentiellement, nous utilisons la fonction 
SHA-1 decrite dans le document « Secure Hash Standard, HPS PUB 180-1, 
National Institute of Standard Technology, 1995 ». 

Lorsqu'un tel paquet de donnees est recu dans le dispositif de 
presentation 202, le module « Unite LECM » 223 extrait le message LECM1 du 
paquet de donnees et le transmet au module terminal 222. 

Celui-ci va tout d'abord detecter a I'etape 402 que ce message 
LECM1 provient d'un domaine different du domaine N2. 

Pour cela, selon une premiere variante de realisation preferee, le 
message LECM1 contient en outre dans sa partie en clair, c'est a dire dans sa 
partie qui n'est pas chiffree par la cle K c , un identifiant de domaine ID N1 . Cet 
identrfiant identifie de maniere unique le domaine N1 et est par exemple le 
resultat d'une fonction de hachage appliquee a la cle secrete du domaine N1. 
Km,. L'identifiant ID N1 est contenu dans toute carte terminal d'un disposrtrf de 
presentation du domaine N1. II est egalement contenu dans ce cas dans la 
carte terminal/convertisseur 211. ' ' • , 

La carte terminal 221 du dispositif de presentation 202 consent 
25 aussi en plus de la cle secrete du domaine N2, un identifiant du domaine N2 : 
ID N2 Le module terminal 222 compare done I'identifiant ID N1 contenu dans le 
message LECM1 avec Tidentifiant contenu dans la carte terminal/convertisseur 
ID N2 Lorsque les deux identifiants sont differents, le module terminal 222 en 
deduit que le message LECM1 recu provient d'un domaine different du domaine 
30 N2 

Selon une deuxieme variante de realisation, le message LECM1 ne 
contient pas d'identifiant de domaine. Le module terminal 222 utilisera dans ce 
cas le Champ d'integrite du message LECM1 pour verifier si ce message 

provient du domaine N2 ou non. 
35 En effet, si le module terminal 222 dechiffre le message LECM1 avec 

la cle Kn2 et applique la fonction de hachage « Hash(x) » precitee aux donnees 
dechiffrees, le resultat obtenu sera different du Champ d'integrite du message 



LECM1 et le module terminal en deduira que le message LECM1 provient d'un 
domaine different de N2. 

A Petape suivante 403, le module terminal 222 genere un nombre 
aleatoire R. Ce nombre est preferentiellement genere par un generateur de 
5 nombres pseudo-ateatoires bien connu en soi. Le nombre R est un challenge 
utilise pour prevenir les « replay attacks » (attaques consistant a rejouer des 
messages enregistres). Le nombre R est memorise temporairement a Petape 
403 dans une zone de memoire securisee de la carte 221 . 

Le dispositif de presentation 202 diffuse ensuite sur le reseau, a 
10 Petape 404, un message contenant les donnees suivantes : 

R I E{Kni}(K c ) I IDni 

L'identifiant ID N1 n'est inclus dans ce message que dans la premiere 
variante de realisation decrite ci-dessus. 

Cette diffusion est effectuee en utilisant le canal asynchrone du bus 
15 204 par lequel transitent habituellement les messages de commande (renvoi 
par le canal asynchrone du bus 204 est represents par une fleche en pointilles 
a la figure 4). 

Le dispositif source 201 qui report ce message le transmet a la carte 
terminal/convertisseur 211. 

20 Uetape suivante 405 n'a lieu que dans ie cadre de la premiere 

variante de realisation precitee et consiste a verifier que Pidentifiant inclus dans 
le message regu a Petape 404 est identique a celui contenu dans la carte 
terminal/convertisseur 211. Si les deux identifiants ne sont pas identiques, alors 
le procede s'arrete car la carte terminal/convertisseur 211 n'est pas en mesure 

25 de dechiffrer Pinformation E{Kni}(Kc). Si les identifiants sont identiques, par 
contre, le procede se poursuit par Tetape 406 lors de laquelle la carte 
terminal/convertisseur dechiffre E{K N1 }(K C ) a Paide de la cle K N1 pour obtenir la 
cie K c . 

Dans le cas ou la seconde variante de realisation est utilisee, Petape 
30 405 n'a pas lieu et toute carte terminal/convertisseur raccordee au reseau du 
domaine N2 effectuera Petape 406 et les suivantes 407 et 408. 

A Petape 407, la carte terminal/convertisseur chiffre les donnees R et 
Kc avec la cle K'c puis elle construit le message suivant : 
E{Kn 2 }(K' c ) I E{K'c}(R|K c ) 
35 qu'elle transmet au dispositif de presentation 202, toujours via le 

canal asynchrone du bus 204, a Petape 408. 
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A I'etape 409, le module terminal 222 dechiffre E{K N2 }(K' C ) avec la 
cle K N 2 pour obtenir la cle K' c avec laquelle il dechiffre E{K'c}(R|K c ) pour obtenir 
R|Kc a I'etape suivante 410. 

Ensuite, a I'etape 411, le module terminal 222 verifie que le nombre 
5 R retrouve a I'etape 410 est bien le meme que celui qui a ete genere et 
memorise a I'etape 403. Si ce n'est pas le cas, le procede s'arrete car cela 
signifie que le message recu a I'etape 408 n'est pas valide. 

Si la verification est positive, le procede se poursuit a I'etape 412 par 
le dechiffrement du message LECM1 a I'aide de la cle K c obtenue a I'etape 
10 410. Plus precisement, I'information E{K C }(CW) est dechiffree pour obtenir le 
mot de contrdle en clair CW. 

Le module terminal 222 verifie egalement a I'etape 412 I'integrite du 
message LECM1 en calculant : 

Hash (E{K N i}(K c ) l CW) a partir des donnees dechiffrees ci-dessus et 
15 en comparant ce resultat au Champ d'integrite du message LECM1 . 

Lorsque la deuxieme variante de realisation mentionnee cMessus 
est mise en ceuvre, le dispositif de presentation 202 peut eventueliement 
recevoir plusieurs messages du type de celui envoye a I'etape 408 si plusieurs 
cartes terminal/convertisseur sont raccordees au reseau du domaine N2. Dans 
20 ce cas, le module terminal 222 effectue les etapes 409 a 412 pour chaque 
message recu a I'etape 408 et lorsque la verification de I'integrite du message 
LECM1 est correcte, le module terminal en deduit que le message recu a 
I'etape 408 est celui issu de la carte terminal/convertisseur provenant du 
domaine N1. 

25 Si la verification d'integrite echoue dans tous les cas, alors le 

procede est arrete. On peut prevoir dans ce cas d'afficher un message 

d'avertissement a destination de I'utilisateur. 

Sinon, le module terminal 222 transmet le mot de contrdle CW en 

clair au module « Unite LECM » du recepteur de television 220 et celui-ci peut 
30 ainsi desembrouiller, a I'etape 413, les donnees du paquet de donnees recu a 

I'etape 401. 

Le dispositif de presentation 202 est aussi capable, grace a la cle Kc 
qu'il memorise temporairement, de dechiffrer les paquets de donnees suivants 
du contenu diffuse par le magnetoscope numerique 203 tant que les messages 
35 LECM1 de ces paquets sont proteges par la meme cle K c . Si jamais la cle K c 
change alors les etapes 403 a 412 sont repetees pour que le dispositif de 
presentation 202 recoive la nouvelle cle K c de la carte terminal/convertisseur 
211. 



Ensuite, lorsque I'ensemble des paquets de donnees formant le 
contenu ont ete recus et dechiffres par le dispositif de presentation 202, ce 
dernier efface de sa memoire a I'etape 414 le nombre R et la cle K c qu'il avait 
memorises temporairement pour effectuer les calculs ci-dessus. 

5 

A la figure 2, nous avons illustre un mode de realisation dans lequel 
la carte terminal/convertisseur 211 est inseree dans un dispositif source du 
domaine N2, a la place de la carte convertisseur qui s'y trouve normalement. 

Mais il est egalement possible, dans un second mode de realisation, 
10 d'inserer la carte terminal/convertisseur dans un dispositif de presentation du 
domaine N2, a la place de la carte terminal qui s'y trouve habituellement. Le 
procede fonctionnera de la meme maniere que ce qui a ete decrit en liaison 
avec les figures 3 et 4. Cependant dans ce cas, il est necessaire naturellement 
que le domaine N2 comprenne au moins deux dispositifs de presentation de 
15 maniere a ce qu'au moins un des dispositifs puisse conserver sa carte terminal 
contenant la cle K N 2 du domaine pour mettre en ceuvre les etapes qui sont 
illustrees aux figures 3 et 4. 

L'invention ne se limite pas aux exemples de realisation qui viennent 
20 d'etre decrits. En particulier, elle s'applique egalement aux reseaux 
domestiques numeriques dans lesquels les donnees (notamment les messages 
LECM) sont protegees a Paide d'une paire de cles asymetriques specifique au 
domaine auquel appartient le reseau, la cle publique du reseau etant contenue 
dans les dispositifs sources pour chiffrer les donnees et la cle privee etant 
25 contenue dans les dispositifs de presentation pour dechiffrer les donnees. Dans 
ce cas, la carte terminal/convertisseur doit contenir, apres la phase 
d'initialisation, la cle privee du premier domaine N1 et la cle publique du second 
domaine N2 pour etre en mesure de dechiffrer les donnees chiffrees pour le 
premier domaine et de les re-chiffrer de maniere a ce qu'elles soient 
30 dechiffrables par un dispositif de presentation du second domaine. 




REVENDICATIOWS 



1. Procede de traitement de donnees (LECM1), chiffrees selon un 
procede de chiffrement propre a un premier domaine de sorte qu'elles ne 
puissent etre dechiffrees qu'a I'aide d'un premier, secret (K N1 ) propre audit 
premier domaine, lesdites donnees etant recues dans un dispositif de 
presentation (202) raccorde a un reseau appartenant a un second domaine, 
caracterise en ce qu il comporte les etapes consistant pour le dispositif de 
presentation a : 

(a) transmettre (404) a un dispositif de traitement (21 1) raccorde au 
reseau une partie (E{Kni}(Kc)) au moins desdites donnees chiffrees ; 

(b) recevoir (408) dudit dispositif de traitement (211) au moins un 
element (E{K N2 }(K'c)iE{K'c}(K c )) permettant de dechiffrer lesdites donnees 
recues a I'aide d'un second secret (K N 2) propre audit second domaine, ledit 
second secret etant contenu dans le dispositif de presentation. 

2. Procede selon la revendication 1, caracterise en ce que les 
donnees recues dans le dispositif de presentation (202) sont chiffrees a I'aide 
d'une premiere cle symetrique (K c ), ladite premiere cle symetrique ; etant recue 
avec lesdites donnees sous forme chiffree (E{K N i}(K c )) a I'aide du premier 
secret (KnO ; 

en ce que I'etape (a) consiste a transmettre au dispositif de 
traitement la premiere cle symetrique chiffree (E{K N i}(K c )) a I'aide- du premier 
secret ; et * *■ 

en ce que I'etape (b) consiste a recevoir du dispositif de traitement : 

- ladite premiere cle symetrique chiffree (E{K' C }(K C )) a. I'aide 
d'une seconde cle symetrique (K' c ) ; et 

- la seconde cle symetrique chiffree (E{Kn2}(K' c )) a I'aide du 
second secret (Kn2) propre au second domaine. 

3. Procede selon la revendication 2, caracterise en ce qu'il comporte 
en outre les etapes consistant pour le dispositif de presentation a : 

(c) dechiffrer (409), a I'aide du second secret (K N2 ), la seconde cle 
symetrique (K' c ) chiffree ; 

(d) dechiffrer (410), a I'aide de la seconde cle symetrique (K' c ), la 
premiere cle symetrique (K c ) chiffree ; et 

(e) dechiffrer les donnees recues (LECM1) par ledit dispositif de 
presentation a I'aide de la premiere cle symetrique (K c ). 
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4 Proceed selon la revendication 3, caracterise en ce qu'il comporte 
en outre, avant I'etape (a), une etape (403) consistant pour le dispositrf de 
Dresentation a generer un nombre aleatoire (R), 

P—J^ ^ , ato . re (R) 4tanl transmls au dispositif de Werner* a 

I' etape (a) avec le chiffrement (E{K N ,}(Kc)) de le premiere cle symetrique ; 

et en ce que les donnees recues a I'etape (b) contiennent un nombre 
aleatoire (R) et la premiere cle symetrique (Kc) chimes (E{K'c«R|Kc)) a 1'aK.e 

de la seconde cte sym6trique (K'c) ; 
,0 i'etape (d) comprenant egalement le dSchrffrement, a la,de de la 

seconde symetrique (K'c), du nombre aleatoire (R) chiffre regus a I'etape <b> et 
to proc&te comportant en outre, avant I'etape (e). une etape de 

verification (411) que le nombre aleatoire (R) dechiffre a I'etape (d est 

idemC au nombne aleatoire (R) genera avant I'etape (a) ; .etape (e) netant 
1 5 effectufe qu'en cas de verification positive. 

5 Proced* selon I'une des revendications prtcSdentes, caracterise 
en ce qu'un identifiant de domaine (ID m ) est contenu dans les donneee 

20 (LECM1) - — - 

^a^STSL*. que s, ledU dispositit de traHement 
contient le meme identifiant de domaine. 
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Hbeites s'appllque aux reponaes faites a ce formulate. 
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